Bilgi güvenliğinin neresindeyiz?
Computerworld Türkiye, 30 Aralık 2008
İnsan kaynakları sistemleri bilgi güvenliğinin yumuşak karnı
Bilgi Güvenliği Anketi 2008’in ortaya koyduğu sonuçlardan biri de, Türk şirketlerinin çoğunlukla ‘bilgi güvenliği’ olgusunu salt ‘teknoloji’ sorunu olarak ele aldıkları yönünde. Genel amaçlı bilgi sistemlerinin kurulumunda bilgi güvenliği birimleri süreçlere büyük oranda dahil olurken, insan kaynakları sistemlerinin kurulumunda katılımın yarı yarıya azaldığı görülüyor. Bu oran dünyada yüzde 69 iken, Türkiye’de yüzde 53 olduğu görülüyor. Bu veriler, pek çok firmada insan kaynakları yazılım uygulamalarının bilgi güvenliği riskleri taşıdığına işaret ediyor.
Risk güvenliği sorumluları bilgi yönetimi ile ne kadar ilgili?
Araştırmanın dünya ve Türkiye bulgularında göze çarpan diğer bir konu da ‘risk yönetimi’nin bilgi güvenliği stratejilerinde kısıtlı bir rol oynaması. Anket katılımcılarının dünya çapında yüzde 28’i ve Türk yöneticilerin yüzde 31’i, bilgi güvenliği ve risk yönetimi’ sorumlularının bir araya gelmediğini vurguluyor.
Dünya genelinde iş sürekliliği planlaması’nı öncelikle bilgi teknolojileri yönetiminin sorumluluk alanı olarak değerlendirenlerin oranı yüzde 41 iken, Türkiye ortalaması yüzde 67 olarak ortaya çıkıyor. Yine genel risk yönetimi çerçevesinde ele alınmayan iş sürekliliği planlamasının başarısının bu nedenle sınırlı olduğu görülüyor. Ankete katılan şirketlerin çoğunluğunun kriz yönetimi için komuta odalarının hazır olmadığını ifade ederken, Türk şirketlerinin yalnızca yüzde 31’inin bu konuda hazırlıklı olduğu vurgulanıyor. İş sürekliliği planlarını sınayan firma sayısı, dünyada yüzde 26 iken, Türkiye’de yüzde 18 oranını aşamıyor.
Üçüncü partilere yönelim arttı
Dünyaya bakıldığında ankete katılan şirketlerin yüzde 45’inin bilgi güvenliği çalışmalarını üçüncü partilere devretmeye başladıkları görülüyor. Yurtdışına nazaran Türkiye’deki firmalar, hizmet satın aldıkları şirketlerin bağımsız denetçiler tarafından verilen SAS 70 güvence raporunu almış olmalarını beklemiyorlar ve hatta bu konuda bilinç sahibi değiller. Oysa yine rapor gösteriyor ki, üçüncü parti firmalarıyla yapılan çalışmalarda yaşanan veri ve bilgi kaybı olayları artıyor. Tedarikçilerden söz konusu raporu talep eden şirketlerin dünya ortalamasının üçte biri civarında olduğu görülüyor.
Bilgi Güvenliği Anketi 2008’in ortaya koyduğu sonuçlardan biri de, Türk şirketlerinin çoğunlukla ‘bilgi güvenliği’ olgusunu salt ‘teknoloji’ sorunu olarak ele aldıkları yönünde. Genel amaçlı bilgi sistemlerinin kurulumunda bilgi güvenliği birimleri süreçlere büyük oranda dahil olurken, insan kaynakları sistemlerinin kurulumunda katılımın yarı yarıya azaldığı görülüyor. Bu oran dünyada yüzde 69 iken, Türkiye’de yüzde 53 olduğu görülüyor. Bu veriler, pek çok firmada insan kaynakları yazılım uygulamalarının bilgi güvenliği riskleri taşıdığına işaret ediyor.
Risk güvenliği sorumluları bilgi yönetimi ile ne kadar ilgili?
Araştırmanın dünya ve Türkiye bulgularında göze çarpan diğer bir konu da ‘risk yönetimi’nin bilgi güvenliği stratejilerinde kısıtlı bir rol oynaması. Anket katılımcılarının dünya çapında yüzde 28’i ve Türk yöneticilerin yüzde 31’i, bilgi güvenliği ve risk yönetimi’ sorumlularının bir araya gelmediğini vurguluyor.
Dünya genelinde iş sürekliliği planlaması’nı öncelikle bilgi teknolojileri yönetiminin sorumluluk alanı olarak değerlendirenlerin oranı yüzde 41 iken, Türkiye ortalaması yüzde 67 olarak ortaya çıkıyor. Yine genel risk yönetimi çerçevesinde ele alınmayan iş sürekliliği planlamasının başarısının bu nedenle sınırlı olduğu görülüyor. Ankete katılan şirketlerin çoğunluğunun kriz yönetimi için komuta odalarının hazır olmadığını ifade ederken, Türk şirketlerinin yalnızca yüzde 31’inin bu konuda hazırlıklı olduğu vurgulanıyor. İş sürekliliği planlarını sınayan firma sayısı, dünyada yüzde 26 iken, Türkiye’de yüzde 18 oranını aşamıyor.
Üçüncü partilere yönelim arttı
Dünyaya bakıldığında ankete katılan şirketlerin yüzde 45’inin bilgi güvenliği çalışmalarını üçüncü partilere devretmeye başladıkları görülüyor. Yurtdışına nazaran Türkiye’deki firmalar, hizmet satın aldıkları şirketlerin bağımsız denetçiler tarafından verilen SAS 70 güvence raporunu almış olmalarını beklemiyorlar ve hatta bu konuda bilinç sahibi değiller. Oysa yine rapor gösteriyor ki, üçüncü parti firmalarıyla yapılan çalışmalarda yaşanan veri ve bilgi kaybı olayları artıyor. Tedarikçilerden söz konusu raporu talep eden şirketlerin dünya ortalamasının üçte biri civarında olduğu görülüyor.
Konunun etiketleri: Güvenlik Açıkları, Gizlilik, Güvenlik Donanımları, Güvenlik Yazılımları
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
Henüz yorum yapılmamış.